首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
二进制漏洞
发新帖
5
5
[原创]CVE-2017-11882分析调试
发表于: 2018-11-13 22:04
9805
[原创]CVE-2017-11882分析调试
从黎明到衰落
1
2018-11-13 22:04
9805
2.用IDA静态分析一下这个函数的指令
3.本函数的参数
该漏洞出现在模块EQNEDT32.EXE中, 该模块为windows的公式编辑器, 该模块以OLE技术(对象链接与嵌入)将公式嵌入在office文档内.
模块路径: C:\Program Files\Common Files\microsoft shared\EQUATION
EQNEDT32.EXE在插入和编辑是会以
独立进程
的形式存在. 导致了系统对于office和Excel的保护机制, 无法有效的阻止EQNEDT32.EXE这个进程被利用.
开始分析:
0x00
1.通过process explorer查看进程树看expolite弹出的计算器的父进程是谁
发现是EQNEDT32.EXE这个模块
2.因为漏洞是出现在EQNEDT32.EXE里面, 所以我们可以先将其调试器修改为winDbg, 这样在加载这个模块的时候就会被附加到winDbg窗口.
注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS
3.因为弹出计算器的时候创建了新的进程,所以我们可以认为新的进程是由WinExec或者CreatProcess创建的。
4.下bp断点kernel32!WinExec和CreateProcess, 然后 ‘g’
5.分析WiinExec的参数和返回地址
看到通过cmd的方式调用了calc
6.再继续栈回溯看是哪个函数调用的WinExec
7.查看函数栈, 从函数返回地址继续往上栈回溯
8.这个时候需要用winDbg对这些函数下断点跟进, 看是哪个函数触发了计算器
9.发现是sub_41160F函数弹出了计算器
0x01
1.重新运行exploit, 用winDbg运行到41160F处查看堆栈内容
2.用IDA静态分析一下这个函数的指令
3.本函数的参数
用WinDbg单步执行完4111658这条指令查看函数返回地址是否被覆盖了
第一次分析CVE有什么错误的地方请大家指正,我回头会修改
该漏洞出现在模块EQNEDT32.EXE中, 该模块为windows的公式编辑器, 该模块以OLE技术(对象链接与嵌入)将公式嵌入在office文档内.
模块路径: C:\Program Files\Common Files\microsoft shared\EQUATION
EQNEDT32.EXE在插入和编辑是会以
独立进程
的形式存在. 导致了系统对于office和Excel的保护机制, 无法有效的阻止EQNEDT32.EXE这个进程被利用.
开始分析:
0x00
1.通过process explorer查看进程树看expolite弹出的计算器的父进程是谁
发现是EQNEDT32.EXE这个模块
2.因为漏洞是出现在EQNEDT32.EXE里面, 所以我们可以先将其调试器修改为winDbg, 这样在加载这个模块的时候就会被附加到winDbg窗口.
注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS
3.因为弹出计算器的时候创建了新的进程,所以我们可以认为新的进程是由WinExec或者CreatProcess创建的。
登录后可查看完整内容
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
收藏
・
5
免费
・
5
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
一笑人间万事
为你点赞~
2023-2-2 00:18
徐chen
为你点赞~
2019-11-11 20:48
开花的水管
为你点赞~
2018-11-15 09:25
icesnowwise
为你点赞~
2018-11-14 23:53
Editor
为你点赞~
2018-11-14 20:25
查看更多
打赏
+ 1.00雪花
junkboy
打赏次数
1
雪花
+ 1.00
junkboy
+1.00
2018/11/14
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
3
)
icesnowwise
雪 币:
2095
活跃值:
(344)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
83
粉丝
1
关注
私信
icesnowwise
2
楼
大佬牛逼,理解起来有点困难,毕竟我逆向太菜
2018-11-14 23:55
1
古往今来
雪 币:
250
活跃值:
(81)
能力值:
( LV6,RANK:90 )
在线值:
发帖
6
回帖
69
粉丝
0
关注
私信
古往今来
3
楼
为什么不提供分析文件。
2019-9-3 11:18
0
不懂就不懂
雪 币:
73
活跃值:
(3110)
能力值:
( LV7,RANK:110 )
在线值:
发帖
7
回帖
57
粉丝
32
关注
私信
不懂就不懂
2
4
楼
真。。。贴图分析法。。。
2019-11-22 10:45
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
从黎明到衰落
1
6
发帖
38
回帖
45
RANK
关注
私信
他的文章
[原创]CTF简单算法反解
16488
[原创]新版010Edit注册机&去除网络验证
20286
[原创]CVE-2017-11882分析调试
9806
[原创][分享]CVE-2012-0158分析调试
4074
[原创]记一个简单未知壳的脱壳笔记和脚本
15987
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部